Consulta de privacitat: Podem facilitar dades personals a l'empresa que ens dissenya la pàgina web


Josep Aragonés Salvat     28/01/2017

Consulta: En breu començarem a treballar amb una empresa que ens està fent una pàgina WEB per e-comerce. Per a això li cedirem dades de clients i per tant no sé si s'ha de registrar d'alguna manera aquesta cessió de dades. El que sí que m'han passat és el seu contracte de confidencialitat, que no sé si hem de signar per què no fa cap referència a la LOPD.

 
Les empreses haurien de prestar molta atenció al contractar serveis que inclouen el tractament de dades personals, ja que com Responsables del tractament, qualsevol incidència relativa a la protecció de dades, han de poder demostrar que han actuat seguint les disposicions del Reglament.

L'empresa que ens està fent la pàgina web serà un Encarregat de tractament i abans de signar cap contracte de serveis, s'hauria de comprovar que ofereix suficients garanties de protecció de dades per a:
 
  • Implementar polítiques tècniques i organitzatives apropiades per complir el Reglament.
  • Protegir els drets dels interessats (clientes).
  • Aplicar les mesures de seguretat que estableix el Reglament (Document de seguretat).
 
En el cas que es pugui comprovar que ofereix suficients garanties es formalitzarà un contracte d'Encarregat de tractament amb les clàusules obligatòries que disposa el Reglament.

Per facilitar dades personals a Encarregats de tractament s'hauran de complir aquestes dues premisses -Garanties i Contracte- i per demostrar-ho s'haurà de guardar la documentació que ho certifiqui.


 

Com podem demostrar que s'ofereixen prou garanties?


1) Comprovar si tenen fitxers inscrits a l'AEPD. Si tenen fitxers inscrits, podem suposar que l'empresa està adaptada a la LOPD. Si no té cap fitxer inscrit ja delata que no ofereix prou garanties, la qual cosa ens obliga a no facilitar-li cap dada de caràcter personal. Per assegurar-nos, només cal posar el NIF/CIF al registre públic de l'AEPD: https://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php

2) Obtenir un certificat de compliment de la LOPD. És el millor mètode per poder demostrar que ofereix suficients garanties, ja que els nostres recursos no ens permeten saber amb exactitud si compleixen o no la normativa vigent en protecció de dades. Un certificat de compliment l'haurà d'emetre l'Encarregat del tractament i contindrà, com a mínim:

La identificació i dades de contacte de l'Encarregat de tractament i del seu representant legal.
La normativa jurídica vigent en què es basa el certificat (LOPD, RDLOPD o GDPR).
Que compleix amb totes les disposicions que li afecta aquesta base jurídica.
Que compleix explícitament amb els principis descrits a l'article 4 de la LOPD o 5 del GDPR.
Que garanteix que ha implementat polítiques tècniques i organitzatives apropiades per aplicar les mesures de seguretat que estableix la base jurídica esmentada.

3) Altres mecanismes de certificació aprovats per l'Autoritat de control: segells i marques de protecció de dades, adhesió a codis de conducta i normes corporatives vinculants.
 

 

¿Com redactar un contracte d'Encarregat de tractament?


La relació entre el Responsable i l'Encarregat del tractament es regirà per un contracte, preferiblement en format electrònic, on s'especificaran les seves respectives funcions i es disposi:
 
  • L'objecte, durada, naturalesa i finalitat del tractament.
  • El tipus de dades personals i categories d'interessats.
  • Les obligacions i drets del Responsable del tractament.
  • Que es realitzarà el tractament seguint les instruccions documentades del Responsable del tractament, incloent les transferències de dades a tercers països o organitzacions internacionals.
  • Que el personal autoritzat per realitzar el tractament s'hagi compromès a respectar la confidencialitat o tinguin l'obligació legal de confidencialitat.
  • Que s'implementaran les mesures de seguretat que estableix el Reglament i cooperarà amb el Responsable del tractament per garantir el seu compliment.
  • Que no es podrà subcontractar el servei a un altre Encarregat del tractament sense l'autorització prèvia i per escrit del Responsable del tractament.
  • Que es crearan les condicions tècniques i organitzatives necessàries per permetre al Responsable del tractament donar curs a les sol·licituds dels drets dels interessats.
  • Que al termini del contracte suprimirà o retornarà, a elecció del Responsable del tractament, les dades tractades i eliminarà les còpies existents, llevat que ho prohibeix la legislació vigent.
  • Que posarà a disposició del Responsable del tractament la informació necessària per demostrar el compliment del contracte, permetent inspeccions o auditories.
  • Que l'Encarregat del tractament serà considerat Responsable del tractament, i està subjecte a les normes aplicables com a tal, quan determini pel seu compte els fins i els mitjans del tractament.
 
 

¿Hem de signar el contracte o acord de confidencialitat que ens lliuri el nostre proveïdor de serveis?

 
Abans de signar cap contracte haurem llegir-lo detingudament per assegurar-nos que incorpora les clàusules abans esmentades. Si no ho veiem molt clar, l'aconsellable és facilitar-li al nostre consultor de privacitat per a la seva correcta avaluació. El millor en aquests casos és que nosaltres facilitem el contracte d'Encarregat de tractament prèviament validat pel nostre consultor/assessor, ja que som els Responsables i com a tals els que estem obligats a fer-ho.

S'ha de distingir entre un CONTRACTE DE SERVEIS, on es descriuen els detalls tècnics i preus del servei contractat, d'un CONTRACTE D'ENCARREGAT, on es reflecteixen les instruccions per al tractament de dades personals. El més recomanable és que tots dos contractes es formalitzin i signin per separat perquè els compromisos adquirits per ambdues parts siguin més transparents i no doni cap dubte sobre la finalitat de cada contracte.


 

Informació relacionada